В нашей сфере пользователи очень часто бесправны - у них очень много персональных обязанностей (не пользуйся торрентом, не приноси музыку, не передавай пароль) но очень мало личных прав.
А как же права на обеспечение ПК, услугами печати, Интернетом? Они есть, но это ИТ-права пользователей. ИБ же контактирует с пользователями редко, практически в 2-ух случаях:
При наличии развитого процесса повышения осведомленности пользователю еще и регулярно вдалбливается что он "должен" - выполнять правила ИБ, сообщать о угрозах, инцидентах и нарушениях ИБ, а в отдельных компаниях пользователи массово депремируются и даже увольняются за нарушения правил ИБ. Пользователи не видят ничего хорошего от ИБ, ИБ воспринимается как "гестапо", "карающий меч", и как "произвол", так как:
Понятно, что с таким подходом уровень доверия пользователей к службе ИБ низок, процесс повышения осведомленности далек от эффективности, и положение ИБ часто шатко - менеджмент прислушивается ко мнению пользователей из своих подразделений.
Интересным решением может быть введение в Правила для пользователей регламентирующего мониторинг и расследования в отношении пользователей раздела, который мог бы содержать например следующее:
Небольшойдомашний Процессуальный кодекс в отношении пользователей поможет ограничить произвол повысить доверие к Службе ИБ а так же раздуть штат ограничить возможности злоупотреблений привилегиями рядового персонала службы ИБ и сократить мотивацию регистрировать малозначимые инциденты с участием пользователей.
А как же права на обеспечение ПК, услугами печати, Интернетом? Они есть, но это ИТ-права пользователей. ИБ же контактирует с пользователями редко, практически в 2-ух случаях:
- пользователь пришел на работу - для разьяснения ему обязанностей;
- пользователь не выполнил обязанности - нарушил правила ИБ, и теперь в отношении него заведен инцидент (звучит как "заведено дело").
При наличии развитого процесса повышения осведомленности пользователю еще и регулярно вдалбливается что он "должен" - выполнять правила ИБ, сообщать о угрозах, инцидентах и нарушениях ИБ, а в отдельных компаниях пользователи массово депремируются и даже увольняются за нарушения правил ИБ. Пользователи не видят ничего хорошего от ИБ, ИБ воспринимается как "гестапо", "карающий меч", и как "произвол", так как:
- на каждого пользователя у ИБ найдется компромат;
- ИБ не ограничена в своих функциях по мониторингу и расследованию деятельности пользователей.
Понятно, что с таким подходом уровень доверия пользователей к службе ИБ низок, процесс повышения осведомленности далек от эффективности, и положение ИБ часто шатко - менеджмент прислушивается ко мнению пользователей из своих подразделений.
Интересным решением может быть введение в Правила для пользователей регламентирующего мониторинг и расследования в отношении пользователей раздела, который мог бы содержать например следующее:
- основания для мониторинга и расследования деятельности пользователя;
- правила согласования и фиксации постановки на мониторинг\начала расследования в отношении конкретного пользователя, а так же сроков мониторинга;
- категории пользователей которые всегда находятся под усиленным мониторингом (бухгалтера, закупки, руководители и т.п.);
- упоминание наличия логирования всех действий по мониторингу пользователей
- разделения нарушений по тяжести (легкие, средние и тяжелые);
- перечня последствий нарушений правил безопасности - более тщательные проверки заявок на доступ, внеочередной аудит доступа и рабочей станции пользователя, эскалация на руководителя, внеочередная сертификация доступа, постановка на мониторинг на конкретных срок.
Небольшой
Комментариев нет:
Отправить комментарий